Paquete NPM malicioso capturado imitando material Tailwind CSS Package

Se ha encontrado un paquete NPM malicioso disfrazado de biblioteca de software legítima para Material Tailwind, lo que una vez más indica intentos por parte de los actores de amenazas de distribuir código malicioso en repositorios de software de código abierto.

Material Tailwind es un marco basado en CSS anunciado por sus mantenedores como una "biblioteca de componentes fácil de usar para Tailwind CSS y Material Design".

"El paquete malicioso Material Tailwind npm, aunque se hace pasar por una herramienta de desarrollo útil, tiene un script automático posterior a la instalación", dijo Karlo Zanki, investigador de seguridad de ReversingLabs, en un informe compartido con The Hacker News.

Este script está diseñado para descargar un archivo ZIP protegido con contraseña que contiene un ejecutable de Windows capaz de ejecutar scripts de PowerShell.

El paquete malicioso, denominado material-tailwindcss , se ha descargado 320 veces hasta la fecha, todas ellas a partir del 15 de septiembre de 2022.

En una táctica que se está volviendo cada vez más común, el autor de la amenaza parece haber tenido mucho cuidado en imitar la funcionalidad proporcionada por el paquete original, mientras utiliza sigilosamente un script posterior a la instalación para introducir las características maliciosas.

Esto toma la forma de un archivo ZIP recuperado de un servidor remoto que incorpora un binario de Windows, al que se le da el nombre de "DiagnosticsHub.exe", probablemente en un intento de hacer pasar la carga útil como una utilidad de diagnóstico.


Empaquetados dentro del ejecutable hay fragmentos de código de Powershell responsables del comando y control, la comunicación, la manipulación de procesos y el establecimiento de la persistencia por medio de una tarea programada.

El módulo Material Tailwind con error tipográfico es el último de una larga lista de ataques dirigidos a repositorios de software de código abierto como npm, PyPI y RubyGems en los últimos años.

El ataque también sirve para resaltar la cadena de suministro de software como una superficie de ataque, que ha cobrado importancia debido al impacto en cascada que los atacantes pueden tener al distribuir códigos maliciosos que pueden causar estragos en múltiples plataformas y entornos empresariales de una sola vez.

Las amenazas a la cadena de suministro también han llevado al gobierno de EE. UU. a publicar un memorando que ordena a las agencias federales que "utilicen solo software que cumpla con los estándares de desarrollo de software seguro" y obtengan "certificación propia para todo el software de terceros".

"Garantizar la integridad del software es clave para proteger los sistemas federales de amenazas y vulnerabilidades y reducir el riesgo general de los ataques cibernéticos", dijo la Casa Blanca la semana pasada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta